1. Compañía

A pesar de la excepcionalidad vivida a lo largo de este 2020 por la pandemia del covid-19, en Madrileña Red de Gas hemos seguido innovando y trabajando por la mejora continuada de la compañía en diferentes ámbitos y siempre de manera transversal, con la implicación y el compromiso de todas nuestras unidades de negocio. Entre las iniciativas llevadas a cabo por MRG destacan aquellas relacionadas con el nuevo marco regulatorio, la política de gestión de riesgos, la ciberseguridad, las telecomunicaciones y la protección de datos personales.

1.1 CONSEJO DE ADMINISTRACIÓN

Consilia Asesores, S. L. Presidencia
(Pedro Mielgo, persona física representante)
Dennis van Alphen Consejero
Martijn Verwoest Consejero
Andrew Scott Wilkie Consejero
Qingtong Li Consejero
Dong Dong Consejero
Simon Davy Consejero
Romain Bruneau Consejero
Pierre Benoist d’Anthenay Consejero
María Martín Secretaria (no consejera)

 

1.2 COMITÉ DE DIRECCIÓN

Alejandro Lafarga Director general
Rafael Fuentes Director jurídico
Inés Zarauz Directora financiera
David Ortiz Carreras Director de expansión
Glen Lancastle Director de sistemas y oper. domiciliarias
María Vázquez Directora de recursos humanos
Félix Blasco Director de operaciones de red

 

1.3 MARCO REGULATORIO

El sector gasista español está regulado por la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos, reformada por la Ley 12/2007, de 2 de julio, el Real Decreto-ley 13/2012 y la Ley 8/2015, de 21 de mayo, así como por la Ley 18/2014, de 15 de octubre, y por su normativa de desarrollo, entre la que destacan, por su importancia, el Real Decreto 1434/2002, de 27 de diciembre, el Real Decreto 949/2001, de 3 de agosto, y el Real Decreto 984/2015, de 30 de octubre.

El Ministerio para la Transición Ecológica y el Reto Demográfico es el organismo competente en la regulación del sector de gas y electricidad, mientras que la Comisión Nacional de los Mercados y la Competencia (en adelante, CNMC) es la autoridad regulatoria que tiene encomendadas las tareas de mantener y asegurar la competencia efectiva y el funcionamiento transparente del sector energético español. Hasta la publicación de la Ley 3/2013, de 4 de junio, dichas funciones corrían a cargo de la Comisión Nacional de Energía (en adelante, CNE), ahora integrada en la CNMC. Las Comunidades Autónomas tienen competencias tanto de desarrollo normativo como de ejecución de la normativa dentro de su ámbito de actuación.

A comienzos de 2019 se aprobó el Real Decreto-ley 1/2019, de 11 de enero, donde se recogen las medidas urgentes para adecuar las competencias de la CNMC a las exigencias derivadas del derecho comunitario en relación a las Directivas 2009/72/CE y 2009/73/CE emitidas por el Parlamento y el Consejo de la Unión Europea, de 13 de julio de 2009, sobre normas comunes para el mercado interior de la electricidad y del gas natural. Dicho decreto ha modificado la Ley 3/2013, de 4 de junio, de creación de la CNMC; la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos; la Ley 24/2013, de 26 de diciembre, del sector eléctrico; y la Ley 18/2014, de 15 de octubre, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. En este sentido, las principales modificaciones han sido las siguientes:

  • Se garantiza la independencia del organismo regulador en la aprobación de sus circulares normativas.
  • En relación con la retribución de las actividades de transporte y distribución de gas y electricidad y de las plantas de gas natural licuado (GNL), a excepción de los almacenamientos subterráneos de gas natural, es la CNMC la entidad que aprueba la metodología, los parámetros retributivos, la base regulatoria de activos y la remuneración anual de la actividad. Asimismo, la CNMC es también quien aprueba la metodología de peajes, la estructura y los valores concretos de los mismos, mientras que al Ministerio para la Transición Ecológica y el Reto Demográfico le corresponde la aprobación de la estructura de los cargos, su metodología y sus valores, así como la metodología y las condiciones de acceso y conexión a las redes de transporte y distribución de electricidad y gas natural; la regulación de las reglas de funcionamiento de los mercados organizados y la retribución del operador del sistema eléctrico y del gestor técnico del sistema gasista.

Durante este ejercicio de 2020, la CNMC ha aprobado, entre otras, las siguientes circulares y resoluciones:

  • Circular 1/2020, de 9 de enero, por la que se establece la metodología de retribución del gestor técnico del sistema gasista.
  • Circular 2/2020, de 9 de enero, por la que se establecen las normas de balance de gas natural.
  • Circular 4/2020, de 31 de marzo, por la que se establece la metodología de retribución de la distribución de gas natural.
  • Circular 6/2020, de 22 de julio, por la que se establece la metodología para el cálculo de los peajes de transporte, redes locales y regasificación de gas natural.
  • Circular 8/2020, de 2 de diciembre, por la que se establecen los valores unitarios de referencia de inversión y de operación y mantenimiento para el periodo regulatorio 2021-2026, así como los requisitos mínimos para las auditorías sobre inversiones y costes en instalaciones de transporte de gas natural y plantas de GNL.
  • Resolución de 17 de diciembre de 2020, por la que se establece la cuantía de retribución del gestor técnico del sistema para 2021 y la cuota para su financiación.
  • Resolución de 17 de diciembre de 2020, por la que se establece el ajuste retributivo de la actividad de distribución aplicable a las empresas que desarrollan la actividad de distribución en el periodo regulatorio 2021-2026. En el caso de Madrileña Red de Gas, dicho ajuste retributivo asciende a 24.516.919 €.
  • Propuesta de resolución de 29 de diciembre de 2020, de la CNMC, por la que se establece la retribución para el “año de gas 2021” (de 1 enero a 30 septiembre de 2021) de las empresas que realizan las actividades reguladas de plantas de GNL, de transporte y de distribución de gas natural (RAP/DE/008/20). Dicha propuesta, que se encuentra actualmente en trámite de audiencia, prevé una retribución provisional para Madrileña Red de Gas de 104.279.650,35 € en 2021.

Intercambio de informacion entre comercializadora y distribuidora (SCTD) y regulación

El 30 de diciembre de 2019 se publicó en el BOE la entrada en vigor de los nuevos formatos de los ficheros de intercambio de información entre distribuidores y comercializadores, tanto de energía eléctrica como de gas natural, aprobados por la CNMC el 18 de diciembre de ese mismo año.

La nueva versión de formatos 2.0 estandariza operativas, incluye novedades regulatorias e introduce mejoras operativas detectadas durante los tres años de experiencia con la versión 1.0, como la protección de los derechos del consumidor con el desistimiento y la garantía de suministro, la consulta de información de contratación en tiempo real y la consideración de multicontratos de gas.

La implantación de estos nuevos formatos en MRG se ha llevado a cabo en dos fases: una primera, el 6 de julio del 2020, y una segunda, el 4 de enero de 2021. El resultado de ambas fases ha sido un éxito gracias a que, durante la ejecución del proyecto, se han seguido metodologías ágiles de trabajo por sprints quincenales, se ha realizado un seguimiento continuo de bloqueos y riesgos entre todoslos implicados y se ha establecido una línea de trabajo entre negocio, sistemas y nuestros partners tecnológicos Atos (mantenedora del sistema global de comunicación SCTD) y DxC Techonology (equipo funcional de nuestro sistema SAP).

Cabe destacar, como un aspecto fundamental del éxito del proyecto, la batería de pruebas de regresión integradas, realizadas junto con las comercializadoras de gas para garantizar el correcto funcionamiento de los desarrollos, así como la coordinación entre todas las unidades de negocio de Madrileña Red de Gas, por el carácter transversal del proyecto, en el que se ha implicado toda la compañía.
 

La implantación de los nuevos formatos 2.0 ha sido un éxito gracias a metodologías ágiles de trabajo, el seguimiento continuo de bloqueos y riesgos y la línea de trabajo establecida entre negocio, sistemas y nuestros partners tecnológicos Atos

 

1.4 PREVENCIÓN DE DELITOS PENALES

De conformidad con la Ley Orgánica 1/2015, de 30 de marzo, Madrileña Red de Gas mantiene actualizado su modelo de gestión de prevención de delitos penales, que incluye un mapa propio de riesgos penales, así como su propio protocolo de prevención.

El compromiso de MRG, en cuanto a la adopción de nuevas actuaciones que garanticen la prevención de delitos penales, es firme. Mediante las correspondientes herramientas de gestión de riesgos, durante este ejercicio 2020 se ha procedido a estudiar la situación actual de los controles establecidos, analizando su grado de cumplimiento y eficacia. En consecuencia, se ha aprobado un plan de acción dirigido a la mejora continuada de dichos controles.

Desde su fundación, MRG considera esencial que todos los empleados de la compañía tengan conocimientos en esta materia. Para facilitar la comprensión y el alcance del modelo de gestión en lo referente a la prevención de delitos penales, se han impartido cursos de formación de carácter general y también específicos, de conformidad con las necesidades detectadas a través de la monitorización anual que se realiza.

 

1.5 CIBERSEGURIDAD

En un mundo hiperconectado, donde la mayoría de las actividades se gestionan a través de la red y de dispositivos electrónicos, garantizar la seguridad de las operaciones y de la información es una necesidad imperante para MRG. Hoy en día, es impensable el desarrollo del proceso de negocio sin los sistemas de información ni la tecnología que los soporta. Dichos sistemas y su tecnología son objetivos de los ciberdelincuentes, que utilizan diversas técnicas para acceder a redes corporativas, secuestrar información, instalar malware y comprometer los activos de las empresas o usuarios. Las amenazas de la ciberdelincuencia cambian y evolucionan, y cada día surgen nuevos riesgos que atentan contra los procesos, los activos y la información de las empresas.

Esta nueva realidad exige que nuestro mayor reto sea garantizar la ciberseguridad. Para conocer y gestionar todos los riesgos que implican los ataques cibernéticos, trabajamos bajo un planteamiento global y coordinado, respaldado por la estrategia corporativa.

Durante el primer semestre de 2020, hemos estructurado un ambicioso plan de acción para 2021-2023 que nos sitúe como referente en ciberseguridad

En función del análisis de los factores propios del sector gasístico, de nuestros objetivos estratégicos y de los requisitos más exigentes del mercado, hemos analizado nuestro nivel actual en materia de ciberseguridad y cuál debería ser el nivel que ha de alcanzar la compañía.

Durante el primer semestre de 2020 y de la mano de la consultora Deloitte, hemos realizado una evaluación del nivel de ciberseguridad en nuestros procesos y en nuestras redes. Así, se han identificado los riesgos que afectan, o pueden afectar en un futuro, a los procesos de negocio, y se ha estructurado un ambicioso plan de acción para el periodo 2021-2023 que nos sitúe en una posición referente en cuanto a ciberseguridad.

Por otro lado, la migración de nuestros sistemas a Amazon Web Services (AWS) nos ha permitido beneficiarnos de una red diseñada para proteger la información, identidades, aplicaciones y dispositivos. De esta manera, hemos mejorado nuestra capacidad para cumplir con los requerimientos de seguridad y conformidad central, tales como localización
de datos, protección y confidencialidad.

Además, AWS nos ha permitido automatizar las tareas de seguridad que antes se hacían de forma manual, lo que reduce los errores de configuración humanos y, por tanto, incrementa la seguridad. Estas acciones llevadas a cabo en la infraestructura desplegada en AWS se han centrado en:

Cifrado de volúmenes EBS

Con el objetivo de cumplir una serie de políticas de seguridad, se requería cifrar todos los volúmenes EBS adjuntados a servidores virtuales EC2. Este cifrado permite a MRG proteger la información, convirtiéndola en código ilegible que no puede ser descifrado fácilmente por personas sin autorización. Para ello, se utiliza un software de encriptación para cifrar cada bit de información que va en volumen de disco, de esta manera se evita el acceso no autorizado a la información almacenada.

Instalación agente antimalware

La instalación de un agente antimalware permite a MRG prevenir, detectar y remediar software malicioso en los dispositivos informáticos individuales. La utilización de un software antimalware en la nube fue la opción elegida por MRG, ya que este tipo de tecnología antimalware permite analizar los archivos en la nube en lugar de hacerlo en el servidor, con lo que se ha conseguido liberar recursos computacionales y dar una respuesta más rápida.

Para cumplir con las políticas de seguridad, se instaló el agente de ESET antivirus ERA Agent en todos los servidores virtuales EC2 desplegados en la cuenta de AWS de Madrileña Red de Gas. Gracias a ello pudimos detectar 37 servidores sin el agente instalado sobre los que se realizó una instalación múltiple, sirviéndonos de playbooks de Ansible.

Una vez realizada la instalación de todos los agentes en los diferentes servidores virtuales, se comprobó el correcto funcionamiento de los mismos para asegurar el éxito del proyecto.

Durante este 2020 también se han llevado a cabo diversas acciones destinadas a sensibilizar a nuestros usuarios, que son el principal vector de entrada de amenazas cibernéticas, y a fortalecer la seguridad de nuestras redes e infraestructuras. Entre estas, destacan las siguientes:

  • Auditoría de ciberseguridad de dispositivos de telemedida.
  • Programa de sensibilización a usuarios.
  • Implantación de un gestor de contraseñas.
  • Configuración y organización de un SIEM-SOC.
  • Cifrado de volúmenes de la infraestructura.
  • Instalación de antimalware en la infraestructura.
  • Encriptación de discos.
  • Segmentación de redes.

Por último, hemos ejecutado más de 2.000 controles sobre nuestros procesos. Se han revisado los sistemas perimetrales SCADA, HMI, PLCs y RTUs, además de todos los sistemas de IT, y hemos realizado diez campañas de sensibilización y de formación entre nuestros usuarios, además de identificar un total de 28 nuevos proyectos para el plan de acción 2021-2023.

 

1.6 TELECOMUNICACIONES

Las telecomunicaciones y las herramientas para el trabajo en remoto se han convertido en elementos clave del nuevo mundo empresarial. Aunque suponen un gasto recurrente, de poco valor añadido en el pasado, hoy es más necesario que nunca asegurarlas, potenciarlas y optimizarlas.

Con el objetivo de garantizar la disponibilidad de herramientas para el trabajo en remoto, y a la vez optimizar costes y buscar valor añadido en las telecomunicaciones para el negocio, en MRG hemos realizado una auditoría de todos nuestros activos de telecomunicaciones, tanto externos como internos, dirigida a la revisión de:

  • Acuerdos con proveedores de telecomunicaciones.
  • Condiciones como tarifas, permanencias y servicios.
  • Gasto medio mensual en telefonía móvil, fija y conexiones.
  • Número de dispositivos.
  • Necesidades de comunicaciones y datos de cada unidad de negocio.

Los resultados de esta auditoría nos han permitido reducir el presupuesto global un 25 %, mediante la reestructuración de todos los servicios de telecomunicaciones: actualización de los contratos a las necesidades reales, mejora de las tarifas, supresión de servicios no necesarios, ampliación de los servicios básicos, como la tarifa de datos a empleados (de 1 a 5Gb), y mejora tecnológica de la red de datos y de la centralita.

Por otro lado, MRG fue la primera distribuidora en implantar, en 2010, Gmail como herramienta corporativa de correo electrónico. En 2020, hemos actualizado la Suite de correo electrónico y de trabajo de la compañía con la edición GSuite Business de Google Workspace, añadiendo espacio ilimitado a nuestras cuentas de Gmail y Google Drive y aumentando la seguridad en las comunicaciones. Al mismo tiempo, se ha realizado un reajuste de las cuentas activas, cuyo número se ha reducido hasta el 30 %.

MAPA DE RIESGOS DE MRG

 

1.7 GESTIÓN CORPORATIVA DE RIESGOS

Según lo establecido en el reglamento de funcionamiento interno de Madrileña Red de Gas, el Comité de Auditoría y Riesgos reporta directamente al Consejo de Administración y opera de acuerdo a lo establecido en el reglamento, donde se definen sus objetivos, funciones y composición. Dicho comité está integrado por representantes del Consejo de Administración, el Comité de Dirección y el departamento de gestión de riesgos.

Los contenidos de la agenda se tratan en reuniones periódicas del comité, cuya celebración se realiza previamente a cada reunión del Consejo de Administración. Son consensuados al inicio de cada nuevo ejercicio fiscal. Entre las materias más recurrentes se encuentran el seguimiento del mapa de riesgos corporativo, los riesgos más relevantes y los controles y planes de mitigación establecidos o propuestos, la auditoría de cuentas, la política de prevención de delitos penales y el riesgo de ciberseguridad.

La gestión de riesgos se trata en las reuniones periódicas del Comité de Dirección, incorporando información sobre la evolución del mapa de riesgos en los reportes mensuales remitidos a los accionistas

El resultado de dichas actividades permite a MRG emitir recomendaciones destinadas a la gestión de riesgos y/o al Consejo de Administración. Asimismo, y con motivo del covid-19, se ha definido un mapa de riesgos específicos. En él se contemplan los riesgos de carácter financiero, como los potenciales impactos en los beneficios operativos, la liquidez y el riesgo crediticio, así como otros relacionados con las dificultades para realizar intervenciones en los domicilios de usuarios afectados por la pandemia, la disponibilidad de recursos para la continuidad de las operaciones y/o los fallos de la cadena de suministro, además de la monitorización del funcionamiento del plan de continuidad del negocio y los seguimientos de prevención de riesgos laborales.

La integración de la política de gestión de riesgos en la compañía se ha articulado mediante la implantación progresiva de los análisis transversales de los riesgos, en los que intervienen las unidades de negocio y corporativas más vinculadas con los procesos afectados. De igual forma, la gestión de riesgos ocupa una parte de la agenda en las reuniones periódicas del Comité de Dirección, incorporando información sobre la evolución del mapa de riesgos en los reportes mensuales remitidos a los accionistas.

En la actualidad, el mapa de riesgos de MRG contempla los diez riesgos más comunes, que se evalúan aplicando un criterio fundamentado en:

  • La probabilidad de ocurrencia de un riesgo en una escala del uno al diez.
  • El impacto de la combinación de la afección al valor actual neto y al impacto reputacional, ambas en una escala del uno al diez. La afección al valor actual neto considera tanto el impacto económico directo para los próximos veinte años como las posibles sanciones.

El mapa de riesgos de MRG contempla aquellos riesgos emergentes mediante actualizaciones periódicas de sus contenidos. Además, establece nuevos controles de alto nivel que se suman a los ya existentes. Se han implantado una serie de planes de acción que contribuyen a mitigar las consecuencias de dichos riesgos.

Las evoluciones más recientes registradas en el mapa de riesgos están relacionadas con los cambios regulatorios sectoriales, que entran en vigor a partir de 2021, y la colección de riesgos que llevan asociados, habiéndose perfeccionado la definición y evaluación de los mismos según se ha ido disponiendo de información más detallada sobre las potenciales consecuencias que se puedan llegar a producir en caso de que estos se materialicen. Asimismo, en paralelo se ha ido desarrollando una estrategia destinada a prevenir y mitigar los potenciales impactos asociados a dichos riesgos.

 

1.8 RESPONSABILIDAD SOCIAL CORPORATIVA

Por quinto año consecutivo, Madrileña Red de Gas ha participado en la iniciativa GRESB Infraestructure, aportando la información de responsabilidad social corporativa solicitada. Los resultados obtenidos ofrecen una visión global de la evolución de la compañía respecto a ejercicios anteriores , así como su grado de madurez en la materia en comparación con otras empresas del mismo sector. A raíz de un análisis en profundidad de dichos resultados, se han identificado mejoras que se deben implantar en el modelo de gestión ambiental, social y de gobierno (ESG, por sus siglas en inglés), con las que seguiremos avanzando a lo largo del ejercicio de 2021.

En la Memoria de ESG pueden localizarse lo capítulos específicos de gestión ambiental, social y de gobierno, redactados a partir del estándar de la Iniciativa de Reporte Global (GRI, por sus siglas en inglés). Se han identificado las referencias del contenido de dicho estándar para facilitar la localización de esta información. Asimismo, esta memoria ha sido objeto de verificación externa por la compañía global de servicios de ensayo, inspección y certificación BVQi.

 

1.9 PROTECCIÓN DE DATOS

El modelo de gestión de protección de datos de Madrileña Red de Gas se ha definido tomando como base la estructura de los sistemas de gestión ISO, de forma que puedan aprovecharse adecuadamente las sinergias existentes con el resto de sistemas. Partiendo de la política de seguridad de la información y protección de datos personales, MRG dispone de un delegado de protección de datos con participación activa en el Comité de Dirección, el Comité de Auditoría y Riesgos y el Comité de Ciberseguridad. Asimismo, disponemos de un manual de gestión desarrollado a partir de más de una decena de procedimientos de protección de datos personales. De cara al mantenimiento actualizado de sus contenidos, dichos procedimientos son objeto de revisiones periódicas. Con la implantación del modelo de evaluación de riesgos e impactos en los distintos tratamientos de protección de datos, la gestión se ha organizado alrededor de las prioridades y oportunidades identificadas. En la actualidad se continúan desarrollando mejoras para la identificación de los interesados.

Por otro lado, este modelo de gestión contempla también la interacción con las partes interesadas mediante la publicación en la página web de la compañía de la política de protección de datos personales, así como la información de tratamiento de datos personales destinada a los interesados, cuya difusión se refuerza a través de las diversas comunicaciones que se envían a los usuarios. Igualmente, engloba la gestión activa del buzón del delegado de protección de datos.

Dentro de nuestro modelo de gestión se encuentran plenamente integradas las siguientes acciones:

  • Acciones de coordinación de actividades empresariales en materia de protección de datos con los encargados de tratamiento mediante reuniones, unificación de criterios y acuerdos de buenas prácticas.
  • Monitorización del desempeño de protección de datos de nuestra cadena de proveedores a través de la información que aportan en el portal Repro-Achilles sobre la madurez de sus políticas de privacidad. También a través de los informes de auditoría realizados por la comunidad Repro-Achilles.
  • Interacción con la Agencia Española de Protección de Datos (AEPD), con motivo de varios procesos de tutela del ejercicio de los derechos de los interesados.
  • Registro de incidencias de protección de datos, cuya investigación contribuye a introducir mejoras en la gestión de la información.

En materia de protección de datos personales, en 2020 destacan la gestión de los derechos de los interesados, la gestión de incidencias y la resolución de consultas

Finalmente, las actividades más relevantes en materia de protección de datos personales durante 2020 se han centrado fundamentalmente en la gestión de los derechos de los interesados, la gestión de incidencias y la resolución de consultas. Muchas de estas últimas están relacionadas con la interpretación de la legislación vigente y con el ejercicio de los derechos de protección de datos personales de los interesados.

Asimismo, se ha continuado revisando las cláusulas contractuales de protección de datos personales de los contratos, incorporando nuestras cláusulas contractuales específicas donde ha sido necesario, con la finalidad de contemplar todas las particularidades de la amplia variedad de servicios que se contratan.

Como novedades relevantes respecto a pasados ejercicios, cabe señalar el incremento significativo de la actividad del buzón del correo del delegado de protección de datos, que ha pasado de las 300 solicitudes de 2019 a las 800 de 2020. También se ha de destacar la notificación a la AEPD de una brecha de seguridad de protección de datos, cuya investigación puso de manifiesto la necesidad de incorporar mejores mecanismos automatizados de gestión de la información. Por último, la primera propuesta de sanción de la AEPD en materia de protección de datos aún está pendiente de resolución definitiva en los tribunales.

Igualmente, y al objeto de impulsar la cultura interna de protección de datos, en el repositorio de normativa interna se han publicado noticias acerca de las revisiones y actualizaciones realizadas, manteniendo el control de la vigencia de la documentación allí recopilada.